k8s资源之NetworkPolicy

最新推荐文章于 2025-03-17 20:00:00 发布
最新推荐文章于 2025-03-17 20:00:00 发布
阅读量511 收藏
点赞数
分类专栏: kubernetes 文章标签: 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hxpjava1/article/details/103934847
版权

 欢迎关注我的公众号:

 目前刚开始写一个月,一共写了18篇原创文章,文章目录如下:

istio多集群探秘,部署了50次多集群后我得出的结论

istio多集群链路追踪,附实操视频

istio防故障利器,你知道几个,istio新手不要读,太难!

istio业务权限控制,原来可以这么玩

istio实现非侵入压缩,微服务之间如何实现压缩

不懂envoyfilter也敢说精通istio系列-http-rbac-不要只会用AuthorizationPolicy配置权限

不懂envoyfilter也敢说精通istio系列-02-http-corsFilter-不要只会vs

不懂envoyfilter也敢说精通istio系列-03-http-csrf filter-再也不用再代码里写csrf逻辑了

不懂envoyfilter也敢说精通istio系列http-jwt_authn-不要只会RequestAuthorization

不懂envoyfilter也敢说精通istio系列-05-fault-filter-故障注入不止是vs

不懂envoyfilter也敢说精通istio系列-06-http-match-配置路由不只是vs

不懂envoyfilter也敢说精通istio系列-07-负载均衡配置不止是dr

不懂envoyfilter也敢说精通istio系列-08-连接池和断路器

不懂envoyfilter也敢说精通istio系列-09-http-route filter

不懂envoyfilter也敢说精通istio系列-network filter-redis proxy

不懂envoyfilter也敢说精通istio系列-network filter-HttpConnectionManager

不懂envoyfilter也敢说精通istio系列-ratelimit-istio ratelimit完全手册

 

————————————————

NetworkPolicy:

使用network policy资源可以配置pod的网络,networkPolicynamespace scoped的,也就是作用域只是在某个namespace,它只能影响某个namespace下的pod的网络出入站规则

不是所有的 Kubernetes 网络方案都支持 Network Policy。比如 Flannel 就不支持

ingress:

deny all:

[root@master01 networkPolicy]# cat default-deny-ingress.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny
spec:
  podSelector: {}
  policyTypes:
  - Ingress

allow all:

[root@master01 networkPolicy]# cat allow-all-ingress.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-all
spec:
  podSelector: {}
  ingress:
  - {}

namespaceSelector:

[root@master01 networkPolicy]# cat namespace-access-ingress.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: nginx
  policyTypes:
  - Ingress
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          project: dev
    ports:
    - protocol: TCP
      port: 80

podSelector:

[root@master01 networkPolicy]# cat podSelector-ingerss.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: nginx
  policyTypes:
  - Ingress
  - Egress
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: busybox
    ports:
    - protocol: TCP
      port: 80

ipBlock:

[root@master01 networkPolicy]# cat ip-ingerss.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: nginx
  policyTypes:
  - Ingress
  - Egress
  ingress:
  - from:
    - ipBlock:
        cidr: 172.20.59.192/32

整合:

[root@master01 networkPolicy]# cat namespace-podSelector-ingress.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
spec:
  podSelector:
    matchLabels:
      app: nginx
  policyTypes:
  - Ingress
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          project: dev
    - podSelector:
        matchLabels:
          app: busybox
    ports:
    - protocol: TCP
      port: 80
[root@master01 networkPolicy]# cat namespace-podSelector-ip-ingress.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
spec:
  podSelector:
    matchLabels:
      app: nginx
  policyTypes:
  - Ingress
  ingress:
  - from:
    - ipBlock:
        cidr: 172.20.0.0/16
        except:
        - 172.20.58.195/32
    - namespaceSelector:
        matchLabels:
          project: dev
    - podSelector:
        matchLabels:
          app: busybox
    ports:
    - protocol: TCP
      port: 80

egress:

default deny:

[root@master01 networkPolicy]# cat default-deny-egress.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
 name: default-deny
spec:
 podSelector: {}
 policyTypes:
 - Egress

allow all:

[root@master01 networkPolicy]# cat allow-all-egress.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
 name: allow-all
spec:
 podSelector: {}
 egress:
 - {}
 policyTypes:
 - Egress

namespaceSelector:

[root@master01 networkPolicy]# cat namespace-egress.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
spec:
  podSelector:
    matchLabels:
      app: busybox
  policyTypes:
  - Egress
  egress:
  - to:
    - namespaceSelector:
        matchLabels:
          project: dev
    ports:
    - protocol: TCP
      port: 80

podSelector:

[root@master01 networkPolicy]# cat podSelector-egerss.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
spec:
  podSelector:
    matchLabels:
      app: busybox
  policyTypes:
  - Egress
  egress:
  - to:
    - podSelector:
        matchLabels:
          app: nginx
    ports:
    - protocol: TCP
      port: 80

ipBlock:

[root@master01 networkPolicy]# cat ip-egress.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
spec:
  podSelector:
    matchLabels:
      app: busybox
  policyTypes:
  - Egress
  egress:
  - to:
    - ipBlock:
        cidr: 172.20.59.192/32

整合:

[root@master01 networkPolicy]# cat namespace-podSelector-egress.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
spec:
  podSelector:
    matchLabels:
      app: busybox
  policyTypes:
  - Egress
  egress:
  - to :
    - namespaceSelector:
        matchLabels:
          project: dev
    - podSelector:
        matchLabels:
          app: nginx
    ports:
    - protocol: TCP
      port: 80
[root@master01 networkPolicy]# cat namespace-podSelector-ip-egress.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
spec:
  podSelector:
    matchLabels:
      app: busybox
  policyTypes:
  - Egress
  egress:
  - to:
    - ipBlock:
        cidr: 172.20.0.0/16
        except:
        - 172.20.58.195/32
    - namespaceSelector:
        matchLabels:
          project: dev
    - podSelector:
        matchLabels:
          app: nginx
    ports:
    - protocol: TCP
      port: 80

ingerss egress 完整例子:

[root@master01 networkPolicy]# cat ingress-egress.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
spec:
  podSelector:
    matchLabels:
      app: nginx
  policyTypes:
  - Ingress
  - Egress
  ingress:
  - from:
    - ipBlock:
        cidr: 172.20.0.0/16
        except:
        - 172.20.58.195/32
    - namespaceSelector:
        matchLabels:
          project: dev
    - podSelector:
        matchLabels:
          app: busybox
    ports:
    - protocol: TCP
      port: 80
  egress:
  - to:
    - ipBlock:
        cidr: 172.20.0.0/16
        except:
        - 172.20.58.195/32
    - namespaceSelector:
        matchLabels:
          project: dev
    - podSelector:
        matchLabels:
          app: nginx
    ports:
    - protocol: TCP
      port: 80

k8s NetworkPolicy配置
weixin_40548182的博客
06-10 359
说明:该规则允许labels为app: nginx-test2的pod访问集群内的其他pod。
K8S---NetworkPolicy
qq_41768644的博客
01-18 538
K8S--networkpolicy
k8s-配置网络策略 NetworkPolicy
u010674101的专栏
10-14 1190
提供了一种方式来控制 Kubernetes 集群中 Pod 之间的网络流量,类似于防火墙规则。通过选择合适的ingress和egress规则,可以实现精细的流量控制。需要网络插件的支持才能生效,并且默认行为是一旦有 NetworkPolicy,则会阻止未允许的流量。
如何在 K8s 内部实现安全的网络隔离?
最新发布
XMYX-0
03-17 839
定义:NetworkPolicy 是 Kubernetes 中的一种资源对象,用于定义 Pod 之间及与外部网络之间允许或拒绝的流量规则。目标:通过基于标签的选择器模型,实现应用为中心的网络访问控制和隔离,降低未经授权的流量风险。作用域:网络策略仅在所在的命名空间内生效,一旦某个 Pod 被 NetworkPolicy 选中,该 Pod 将默认处于隔离状态,只允许明确允许的流量进入或离开。核心原则:遵循白名单机制,策略未明确允许的流量均会被拒绝。
k8s安全05--配置网络策略 NetworkPolicy
脚步不能达到的地方,眼光可以达到;眼光不能达到的地方,精神可以飞到
11-17 1728
k8s安全05--配置网络策略1 介绍2 案例2.1 案例11.1 创建 ns 和 pod1.2 查看pod,svc 信息1.3 测试网络联通性1.4 在集群外部通过NodePort 访问服务1.5 创建网络策略,prod-a 拒绝任何访问1.6 测试网络策略1.7 创建网络策略, 允许标签为 app: front 的pod 访问1.8 测试网络策略2.2 案例22.1 创建ns 和 pod2.2 创建网络策略2.3 测试网络策略3 注意事项3.1 常见Selector功能区别4 说明 1 介绍 2 案例
k8s学习-网络策略NetworkPolicy(概念、模版、创建、删除等)
关注网络安全、云原生安全
09-11 2991
3.(Egress 规则)允许 “default” 命名空间中任何带有标签 “role=db” 的 Pod 到 CIDR 10.0.0.0/24 下 5978 TCP 端口的连接。k8s的命名空间是没有强制隔离性的,访问service时加上.namespace的名称即可。:此选择器将选择特定的名字空间,应将所有 Pod 用作其入站流量来源或出站流量目的地。k8s的Pod是没有隔离行的,任意命名空间下的Pod可以访问任意命名空间下的Pod。的 to/from 条目选择特定名字空间中的特定 Pod。
【转载】K8S 网络模型总览
叮当猫的喵i
08-18 711
底层网络顾名思义是指网络设备基础设施,如交换机,路由器,DWDM使用网络介质将其链接成的物理网络拓扑,负责网络之间的数据包传输。​ 图:Underlay network topology可以是二层,也可以是三层;二层的典型例子是以太网Ethernet,三层是的典型例子是互联网Internet。而工作与二层的技术是vlan,工作在三层的技术是由OSPF,BGP等协议组成叠加网络是使用网络虚拟化技术,在underlay。...
K8S学习指南(29)-k8s网络对象NetworkPolicy
俞兆鹏的博客
12-20 3546
NetworkPolicy是Kubernetes中用于定义Pod之间网络通信规则的资源对象。通过NetworkPolicy,开发者可以控制哪些Pod可以与另外哪些Pod通信,以及使用何种方式进行通信。这种细粒度的网络控制有助于提高集群的安全性,防止未经授权的访问和通信。
k8s学习-网络策略NetworkPolicy(概念、模版、创建、删除等)(1)
2401_84253380的博客
04-28 969
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;k8s的Pod是没有隔离行的,任意命名空间下的Pod可以访问任意命名空间下的Pod。
一起来学k8s 19.NetworkPolicy
隔壁小翔
07-14 943
NetworkPolicy Kubernetes提供了NetworkPolicy,支持按Namespace级别的网络隔离,flannel 是没有网络策略的,calico有网络策略,建议安装calico,或者canal(就是flannel+calico,flannel作为网络划分,calico作为网络策略)。 环境 192.168.48.101 master01 192.168.48.201 nod...
K8S系列】8-K8s实战-玩转Network
Java架狗师知识框架速查表
06-20 1789
Network Docker容器之间访问 通过docker0 网卡实现相同网段进行通信 6.1 同一个Pod中的容器通信-pause container 接下来就要说到跟Kubernetes网络通信相关的内容咯 我们都知道K8S最小的操作单位是Pod,先思考一下同一个Pod中多个容器要进行通信 由官网的这段话可以看出,同一个pod中的容器是共享网络ip地址和端口号的,通信显然没问题 Each Pod is assigned a unique IP address. Every container i
k8s-使用Network Policies实现网络隔离
dsgdauigfs的博客
08-29 1473
本字段可以看作是一个开关,如果其中包含Ingress,则Ingress部分定义的规则生效,如果是Egress则Egress部分定义的规则生效,如果都包含则全部生效。实际应用中某些命名空间中的pod可能和其他命名空间中的pod有调用关系,还可能用到一些系统命名空间中的服务(如DNS服务),所以不能将某个命名空间完全和其他所有命名空间隔离,只需要将确定没有业务调用的命名空间隔离。策略描述:更新第5步sub2中创建的策略,使sub2中的pod除了不能和sub3中的pod通信外,和其他所有地址都可通信。
云原生|kubernetes|networkPolicy网络策略详解
zsk_john的技术分享专用博客
12-31 1240
由以上实验我们可以得出一个结论: 1,namespace是networkPolicy的作用域 2,from表示方向,因此,上面的例子,标签是打在了nginx1,然后登陆的nginx1,那么,如果标签打到了nginx2上,就需要使用nginx2访问nginx1了。
浅析 Kubernetes原生NetworkPolicy 网络策略,让更安全的容器运行环境唾手可得
alauda_andy的博客
05-29 442
k8s中的网络策略主要分为原生 NetworkPolicy 和第三方网络插件提供的网络策略。本文将主要分析原生Networkpolicy的网络策略。什么是网络策略 网络策略(NetworkPolicy)是一种关于 Pod 间及 Pod 与其他网络端点间所允许的通信规则的规范。NetworkPolicy 资源使用标签选择 Pod,并定义选定 Pod 所允许的通信规则。 k8s中的网络策略由实现了CN...
Kubernetes学习之NetworkPolicy
Steven19920104的博客
12-26 934
上述规则允许role=db命名空间上带有标签的任何 Pod 通过 TCPdefault与范围内的任何 IP 进行通信10.0.0.0/24,前提是目标端口在范围 32000 和 32768 之间。有了这个策略,任何额外的策略都不会导致来自这些 pod 的任何传出连接被拒绝。有了这个策略,任何额外的策略都不会导致到这些 pod 的任何传入连接被拒绝。这确保了即使没有被任何其他 NetworkPolicy 选择的 Pod 也不会被允许进入或流出流量。默认情况下,Pod的出口是非隔离的,允许所有出站连接。
关于 Kubernetes中NetworkPolicy(网络策略)方面的一些笔记
山河已无恙
01-09 3374
混吃等死,小富即安,飞黄腾达,是因为各有各的缘法,未必有高下之分。--—烽火戏诸侯《剑来》
kubernetes网络之网络策略-Network Policies
linus.lin的博客
07-29 953
Kubernetes 中,Network Policy(网络策略)定义了一组 Pod 是否允许相互通信,或者与网络中的其他端点 endpoint 通信。
每天5分钟玩转Kubernetes | Network Policy
COCO_gsta的博客
06-24 450
书籍来源:cloudman《每天5分钟玩转Kubernetes》一边学习一边整理老师的课程内容及试验笔记,并与大家分享,侵权即删,谢谢支持!附上汇总贴:每天5分钟玩转Kubernetes | 汇总_COCOgsta的博客-CSDN博客Network Policy是Kubernetes的一种资源。Network Policy通过Label选择Pod,并指定其他Pod或外界如何与这些Pod通信。默认情况下,所有Pod是非隔离的,即任何来源的网络流量都能够访问Pod,没有任何限制。当为Pod定义了Network
Calico网络隔离与NetworkPolicy实战
例如,对于ICKS(假设是一个云平台)中的Vdc(虚拟数据中心)和Kubernetes的Namespace一一对应,可以为每个Vdc(租户)定义专属的NetworkPolicy,确保其资源无法被其他Vdc的资源访问,从而达到租户间的网络隔离。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hxpjava1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值